Comment trouver les vulnérabilités des routeurs et que faire à leur sujet. Menaces de sécurité informatique et principes de base de la protection antivirus

Le terme « logiciel malveillant » fait référence à tout programme créé et utilisé pour effectuer des actions non autorisées et souvent malveillantes. En règle générale, on parle de diverses sortes virus, vers, chevaux de Troie, enregistreurs de frappe, programmes de vol de mots de passe, virus de macro, virus du secteur de démarrage, virus de script, logiciels frauduleux, logiciels espions et programmes publicitaires. Malheureusement, cette liste est loin d'être complète, qui s'enrichit chaque année de plus en plus de nouvelles espèces. malware, que nous appellerons souvent dans ce document de façon générale- les virus.

Les motivations qui poussent à écrire des virus informatiques peuvent être très différentes : du désir banal de tester ses compétences en programmation au désir de causer du tort ou de gagner des revenus illégaux. Par exemple, certains virus ne font quasiment aucun mal, mais ralentissent seulement le fonctionnement de la machine en raison de leur reproduction, de leur détritus, Disque dur ordinateur ou produire des effets graphiques, sonores et autres. D'autres peuvent être très dangereux, entraînant la perte de programmes et de données, l'effacement d'informations dans les zones de mémoire du système et même la panne de pièces. disque dur.

CLASSIFICATION DES VIRUS

DANS actuellement, il n'existe pas de classification claire des virus, bien qu'il existe certains critères pour leur division.

Habitat du virus

Tout d’abord, les malwares sont répartis selon leur habitat (selon les objets qu’ils affectent). Le type de malware le plus courant est virus de fichiers , qui infectent les fichiers exécutables et sont activés à chaque lancement de l'objet infecté. Ce n'est pas sans raison que certains services de messagerie (par exemple, le service Gmail) ne permettent pas d'envoyer e-mails avec des fichiers exécutables qui leur sont attachés (fichiers avec l'extension .EXE). Ceci est fait afin de protéger le destinataire contre la réception d'un e-mail contenant un virus. En pénétrant sur un ordinateur via un réseau ou tout autre support de stockage, un tel virus n'attend pas d'être lancé, mais démarre automatiquement et exécute les actions malveillantes pour lesquelles il est programmé.

Cela ne signifie pas que tous les fichiers exécutables sont des virus (par exemple, fichiers d'installation ont également l'extension .exe), ou que les virus n'ont que l'extension exe. Ils peuvent avoir l'extension inf, msi, et en général ils peuvent être sans extension ou attachés à des documents existants (les infecter).

Le type de virus suivant a sa propre caractéristique : ils sont enregistrés dans les zones de démarrage des disques ou secteurs contenant le chargeur de démarrage du système. En règle générale, ces virus sont activés au démarrage du système d'exploitation et sont appelés virus du secteur de démarrage .

Objets d'infection macrovirus servir de fichiers de documents, qui sont traités comme documents texte, donc feuilles de calcul, développé en langages macro. La plupart des virus de ce type sont écrits pour l'éditeur de texte populaire MS Word.

Et enfin, virus de réseau ou de script pour se reproduire, ils utilisent des protocoles réseaux informatiques et les équipes langages de script. Récemment, ce type de menace est devenu très répandu. Par exemple, les attaquants utilisent souvent des vulnérabilités JavaScript pour infecter un ordinateur, qui est activement utilisé par presque tous les développeurs de sites Web.

Algorithmes d'opération de virus

Un autre critère de division des logiciels malveillants réside dans les caractéristiques de leur algorithme de fonctionnement et des technologies utilisées. En général, tous les virus peuvent être divisés en deux types : résidents et non-résidents. Les résidents sont dans mémoire vive ordinateur et sont actifs jusqu’à ce qu’il soit éteint ou redémarré. Non-résidents, ils n’infectent pas la mémoire et ne sont actifs qu’à un moment donné.

Virus satellites (virus compagnons) ne modifient pas les fichiers exécutables, mais en créent des copies portant le même nom, mais une extension différente et de priorité plus élevée. Par exemple, le fichier xxx.COM sera toujours lancé avant xxx.EXE en raison des spécificités du système de fichiers Windows. Ainsi, code malicieux exécuté avant programme original, et puis seulement elle-même.

Virus-vers distribué indépendamment dans des catalogues disques durs et les réseaux informatiques, en y créant leurs propres copies. L'utilisation de vulnérabilités et de diverses erreurs administratives dans les programmes permet aux vers de se propager de manière totalement autonome, en sélectionnant et en attaquant automatiquement les machines des utilisateurs.

Virus invisibles (virus furtifs) tentent de cacher partiellement ou complètement leur existence dans le système d'exploitation. Pour ce faire, ils interceptent l'accès du système d'exploitation aux fichiers et secteurs de disque infectés et remplacent les zones non infectées du disque, ce qui interfère grandement avec leur détection.

Virus fantômes (virus polymorphes ou à auto-cryptage) ont un corps crypté, de sorte que deux copies du même virus n'ont pas les mêmes parties du code. Cette circonstance complique grandement la procédure de détection de telles menaces et donc cette technologie utilisé par presque tous les types de virus.

Rootkits permettre aux attaquants de cacher les traces de leurs activités dans un système d’exploitation compromis. Ces types de programmes sont engagés dans la dissimulation fichiers malveillants et des processus, ainsi que leur propre présence dans le système.

Fonctionnalité supplémentaire

De nombreux programmes malveillants contiennent des Fonctionnalité, ce qui rend non seulement difficile leur détection dans le système, mais permet également aux attaquants de contrôler votre ordinateur et d'obtenir les données dont ils ont besoin. Ces virus incluent les portes dérobées (piratage du système), les enregistreurs de frappe (intercepteur de clavier), les logiciels espions, les botnets et autres.

Systèmes d'exploitation concernés

Divers virus peuvent être conçus pour fonctionner sur certains systèmes d'exploitation, plates-formes et environnements (Windows, Linux, Unix, OS/2, DOS). Bien entendu, la grande majorité des logiciels malveillants sont écrits pour le système Windows le plus populaire au monde. Cependant, certaines menaces ne fonctionnent que dans Environnement Windows 95/98, certains uniquement sur Windows NT et d'autres uniquement dans les environnements 32 bits, sans affecter les plates-formes 64 bits.

SOURCES DE MENACES

L'un des principaux objectifs des attaquants est de trouver un moyen de transmettre un fichier infecté à votre ordinateur et de forcer son activation. Si votre ordinateur n'est pas connecté à un réseau informatique et n'échange pas d'informations avec d'autres ordinateurs via des supports amovibles, vous pouvez être sûr qu'il n'a pas peur des virus informatiques. Les principales sources de virus sont :

  • Disquette, disque laser, carte flash ou tout autre média amovible des informations sur les fichiers infectés par un virus ;
  • Un disque dur qui a reçu un virus suite à une utilisation avec des programmes infectés ;
  • Tout réseau informatique, y compris un réseau local ;
  • Systèmes de courrier électronique et de messagerie ;
  • Internet mondial ;

TYPES DE MENACES INFORMATIQUES

Ce n’est probablement un secret pour vous qu’aujourd’hui, la principale source de virus est le réseau mondial. À quels types de menaces informatiques tout utilisateur ordinaire d’Internet mondial peut-il être confronté ?

  • Cyber-vandalisme . Distribution de logiciels malveillants dans le but d'endommager les données des utilisateurs et de désactiver l'ordinateur.
  • Fraude . Distribution de logiciels malveillants pour obtenir des revenus illégaux. La plupart des programmes utilisés à cette fin permettent aux attaquants de collecter des informations confidentielles et de les utiliser pour voler de l'argent aux utilisateurs.
  • Attaques de pirates . Rupture ordinateurs individuels ou des réseaux informatiques entiers dans le but de voler des données confidentielles ou d'installer des logiciels malveillants.
  • Hameçonnage . Création de faux sites Internet qui sont une copie exacte de sites existants (par exemple, un site Internet de banque) dans le but de voler des données confidentielles lorsque les utilisateurs les visitent.
  • Courrier indésirable . Anonyme envois massifs des e-mails qui encombrent les boîtes de réception des utilisateurs. En règle générale, ils sont utilisés pour promouvoir des biens et des services, ainsi que pour des attaques de phishing.
  • Logiciel publicitaire . Diffusion de logiciels malveillants qui diffusent des publicités sur votre ordinateur ou redirigent Requêtes de recherche vers des sites Web payants (souvent pornographiques). Il est souvent intégré à des programmes gratuits ou shareware et installé sur l’ordinateur de l’utilisateur à son insu.
  • Botnets . Réseaux zombies constitués d'ordinateurs infectés par un cheval de Troie (y compris votre PC), contrôlés par un seul propriétaire et utilisés à ses fins (par exemple, envoi de spam).

SIGNES D'INFECTION INFORMATIQUE

Il est très important de détecter à un stade précoce un virus qui s'est introduit dans votre ordinateur. Après tout, jusqu'à ce qu'il ait le temps de se multiplier et de déployer un système d'autodéfense contre la détection, les chances de s'en débarrasser sans conséquences sont très élevées. Vous pouvez déterminer vous-même la présence d'un virus sur votre ordinateur en connaissant les premiers signes d'infection :

  • Réduire la quantité de RAM libre ;
  • Chargement et fonctionnement de l'ordinateur considérablement plus lents ;
  • Modifications incompréhensibles (sans raison) des fichiers, ainsi que modifications de leurs tailles et dates dernier changement;
  • Erreurs lors du chargement du système d'exploitation et pendant son fonctionnement ;
  • Impossibilité d'enregistrer des fichiers dans certains dossiers ;
  • Incompréhensible messages système, effets musicaux et visuels.

Si vous constatez que certains fichiers ont disparu ou ne peuvent pas être ouverts, il est impossible de télécharger système opérateur ou c'est arrivé formatage dur disque, ce qui signifie que le virus est entré dans la phase active et numérisation simple Vous ne pouvez pas vous débarrasser d'un ordinateur avec un programme antivirus spécial. Vous devrez peut-être réinstaller le système d'exploitation. Ou exécutez des solutions d'urgence disque de démarrage, puisque l'antivirus installé sur l'ordinateur a probablement perdu sa fonctionnalité car il a également été modifié ou bloqué par un malware.

Certes, même si vous parvenez à vous débarrasser des objets infectés, il est souvent impossible de restaurer la fonctionnalité normale du système, car il est important fichiers système. Dans le même temps, n'oubliez pas que vos données importantes, qu'il s'agisse de photographies, de documents ou d'une collection musicale, peuvent risquer d'être détruites.

Pour éviter tous ces problèmes, vous devez surveiller en permanence la protection antivirus de votre ordinateur, ainsi que connaître et suivre les règles de base en matière de sécurité des informations.

PROTECTION ANTIVIRUS

Ils sont utilisés pour détecter et neutraliser les virus. programmes spéciaux, appelés « programmes antivirus » ou « antivirus ». Ils bloquent l’accès non autorisé à vos informations de l’extérieur et préviennent les infections virus informatiques et, si nécessaire, éliminer les conséquences de l'infection.

Les technologies protection antivirus

Voyons maintenant les technologies de protection antivirus utilisées. La présence d'une technologie particulière dans le cadre d'un package antivirus dépend du positionnement du produit sur le marché et affecte son coût final.

Antivirus de fichiers. Un composant qui contrôle le système de fichiers de l'ordinateur. Il vérifie tous les fichiers ouverts, lancés et enregistrés sur votre ordinateur. Si des virus connus sont détectés, en règle générale, il vous est demandé de désinfecter le fichier. Si, pour une raison quelconque, cela n'est pas possible, il est supprimé ou placé en quarantaine.

Antivirus de messagerie. Fournit une protection pour le courrier entrant et sortant et l'analyse pour détecter la présence d'objets dangereux.

Antivirus Internet. Met en oeuvre analyse antivirus trafic transmis via le protocole Internet HTTP, qui assure la protection de votre navigateur. Surveille tous les scripts en cours d'exécution à la recherche de code malveillant, y compris les scripts Java et VB.

Antivirus de messagerie instantanée. Responsable de la sécurité du travail avec les téléavertisseurs Internet (ICQ, MSN, Jabber, QIP, Mail.RUAgent, etc.) vérifie et protège les informations reçues via leurs protocoles.

Contrôle du programme. Ce composant enregistre les actions des programmes exécutés sur votre système d'exploitation et régule leurs activités en fonction de règles établies. Ces règles régissent l'accès du programme à diverses ressources du système.
Pare-feu (pare-feu). Assure la sécurité de votre travail sur les réseaux locaux et Internet, suivi pendant trafic entrant activité caractéristique de attaques de réseau exploiter les vulnérabilités du système d’exploitation et des logiciels. À tous les connexions de réseau des règles sont appliquées qui autorisent ou interdisent certaines actions en fonction de l'analyse de certains paramètres.

Protection proactive. Ce composant est conçu pour identifier les logiciels dangereux sur la base de l'analyse de leur comportement dans le système. Les comportements malveillants peuvent inclure : une activité typique des programmes chevaux de Troie, l'accès au registre du système, l'autocopie de programmes dans diverses zones du système de fichiers, l'interception de la saisie au clavier, l'injection dans d'autres processus, etc. De cette manière, une tentative est effectuée pour protéger l'ordinateur non seulement des virus déjà connus, mais aussi des nouveaux qui n'ont pas encore été étudiés.

Anti-spam. Filtre tous les courriers entrants et sortants pour les messages indésirables (spam) et les trie en fonction des paramètres de l'utilisateur.

Anti-espion. Le composant le plus important conçu pour lutter contre la fraude sur Internet. Protège contre les attaques de phishing, les portes dérobées, les téléchargeurs, les vulnérabilités, les pirates de mots de passe, les pirates de données, les enregistreurs de clavier et les proxys, les numéroteurs de paywall, les programmes de blagues, les logiciels publicitaires et les bannières ennuyeuses.

Contrôle parental. Il s'agit d'un composant qui vous permet de définir des restrictions d'accès pour l'utilisation de votre ordinateur et d'Internet. Avec cet outil, vous pouvez contrôler le lancement divers programmes, l'utilisation d'Internet, la visite de sites Web en fonction de leur contenu et bien plus encore, protégeant ainsi les enfants et les adolescents contre influence négative lorsque vous travaillez sur un ordinateur.

Environnement sécurisé ou bac à sable (bac à sable). Espace virtuel limité qui bloque l'accès aux ressources système. Fournit un travail sécurisé avec des applications, des documents, des ressources Internet, ainsi qu'avec des ressources Web bancaires sur Internet, où la sécurité lors de la saisie de données confidentielles est d'une importance particulière. Il vous permet également d'exécuter des applications dangereuses en interne sans risque d'infecter le système.

Règles de base de la protection antivirus

À proprement parler, méthode universelle Il n'y a pas de lutte contre les virus. Même si votre ordinateur dispose du système le plus moderne programme antivirus- cela ne garantit absolument pas que votre système ne sera pas infecté. Après tout, les virus apparaissent en premier, et alors seulement il existe un remède contre eux. Et malgré le fait que de nombreuses solutions antivirus modernes disposent de systèmes permettant de détecter les menaces encore inconnues, leurs algorithmes sont imparfaits et ne vous offrent pas une protection à 100 %. Mais si vous respectez les règles de base de la protection antivirus, vous pouvez réduire considérablement le risque d'infection de votre ordinateur et de perte d'informations importantes.

  • Votre système d'exploitation doit disposer d'un bon programme antivirus mis à jour régulièrement.
  • Les données les plus précieuses doivent être sauvegardées.
  • Partitionnez votre disque dur en plusieurs partitions. Cela isolera une information important et ne le conservez pas sur la partition système où votre système d'exploitation a été installé. Après tout, c’est lui qui est la cible principale des attaquants.
  • Ne visitez pas les sites Web au contenu douteux, en particulier ceux qui se livrent à la distribution illégale de contenus, de clés et de générateurs de clés pour des programmes payants. En règle générale, en plus des « cadeaux » gratuits, il existe une énorme quantité de logiciels malveillants de toutes sortes.
  • Lorsque vous utilisez le courrier électronique, n'ouvrez pas et n'exécutez pas pièces jointes au courrierà partir de lettres de destinataires inconnus.
  • Tous ceux qui aiment communiquer via les messageries Internet (QIP, ICQ) doivent également se méfier du téléchargement de fichiers et du clic sur des liens envoyés par des contacts inconnus.
  • Pour les utilisateurs réseaux sociaux vous devriez être doublement prudent. Récemment, ils sont devenus la principale cible des cyber-fraudeurs qui proposent de multiples stratagèmes leur permettant de voler l’argent des utilisateurs. Une demande de fourniture de vos informations sensibles dans des messages douteux devrait vous alerter immédiatement.

CONCLUSION

Nous pensons qu'après avoir lu ce document, vous comprenez maintenant à quel point il est important de prendre au sérieux la question de la sécurité et de la protection de votre ordinateur contre les intrusions d'intrus et les effets des programmes malveillants sur celui-ci.
Sur ce moment Il existe un grand nombre d'entreprises qui développent des logiciels antivirus et, comme vous le comprenez, il n'est pas difficile de se tromper sur son choix. Mais c'est un moment très important, puisque c'est l'antivirus qui constitue le mur protégeant votre système du flux d'infection provenant du réseau. Et si ce mur présente de nombreuses lacunes, cela n’aura aucun sens.

Pour permettre aux utilisateurs ordinaires de choisir plus facilement une protection PC adaptée, nous testons sur notre portail les solutions antivirus les plus populaires, nous familiarisons avec leurs capacités et interface utilisateur. Vous pouvez vous familiariser avec le dernier d'entre eux, et très bientôt il vous attendra nouvelle critique les derniers produits dans ce domaine.

Les virus sont des programmes capables d'ajouter du code malveillant aux programmes installés sur votre ordinateur. Ce processus est appelé infection.

Le principal objectif du virus est de se propager. En cours de propagation, les virus peuvent supprimer des fichiers et même le système d'exploitation, corrompre la structure des données et bloquer le travail des utilisateurs.

Vers

Les vers sont des programmes malveillants qui utilisent ressources réseau. Le nom de cette classe a été donné en fonction de la capacité des vers à « ramper » d’un ordinateur à l’autre en utilisant les réseaux. e-mail et d'autres canaux d'information.

Les vers ont un taux de propagation très élevé. Ils pénètrent dans un ordinateur, déterminent les adresses réseau d'autres ordinateurs et envoient des copies d'eux-mêmes à ces adresses. Les vers peuvent également utiliser les données du carnet d'adresses des clients de messagerie.

Les représentants de cette classe de logiciels malveillants créent parfois des fichiers de travail sur les disques système, mais ne peuvent pas du tout accéder aux ressources de l'ordinateur, à l'exception de la RAM.

Les vers se propagent plus vite que les virus.

chevaux de Troie

chevaux de Troie- les programmes qui effectuent des actions non autorisées par l'utilisateur sur les ordinateurs concernés. Par exemple, ils détruisent les informations sur les disques, provoquent le blocage du système, volent des informations confidentielles, etc.

Cette classe de malware n’est pas un virus au sens traditionnel du terme, c’est-à-dire qu’elle n’infecte pas d’autres programmes ou données. Les chevaux de Troie ne sont pas capables de pénétrer seuls dans les ordinateurs et sont distribués par des attaquants sous couvert de logiciels « utiles ». De plus, les dommages qu’ils causent peuvent être plusieurs fois supérieurs aux pertes causées par une attaque virale traditionnelle.

Spyware

Un logiciel espion est un logiciel qui vous permet de collecter des informations sur un utilisateur individuel ou une organisation à son insu. Vous ne réalisez peut-être même pas que vous avez un logiciel espion sur votre ordinateur. En règle générale, les logiciels espions ont pour objectif :

  • Suivi des actions des utilisateurs sur l'ordinateur.
  • Collecte d'informations sur le contenu du disque dur. Dans ce cas, nous parlons d'analyser certains répertoires et registre du système dans le but de dresser une liste des logiciels installés sur l'ordinateur.
  • Collecte d'informations sur la qualité de la communication, la méthode de connexion, la vitesse du modem, etc.

Cependant, ces programmes ne se limitent pas à la simple collecte d’informations : ils constituent une réelle menace pour la sécurité. Au moins deux de programmes célèbres- Gator et eZula - permettent à un attaquant non seulement de collecter des informations, mais également de contrôler l'ordinateur de quelqu'un d'autre.

Un autre exemple de logiciel espion est celui des programmes qui s'intègrent dans un navigateur installé sur un ordinateur et redirigent le trafic. Vous avez peut-être rencontré des programmes similaires si, lorsque vous avez demandé un site, un autre s'est ouvert.

Hameçonnage

Le phishing est un type de fraude sur Internet dont le but est d'accéder aux identifiants et aux mots de passe des utilisateurs.

Pour obtenir les données des utilisateurs, l'attaquant crée une copie exacte du site de banque en ligne et rédige une lettre aussi similaire que possible à une vraie lettre de la banque sélectionnée. Dans la lettre, l'attaquant, déguisé en employé de banque, demande à l'utilisateur de confirmer ou de modifier ses informations d'identification et fournit un lien vers un faux site de banque en ligne. Le but d'un tel e-mail est d'amener l'utilisateur à cliquer sur le lien fourni et à saisir ses données.

Pour plus d'informations sur le phishing, consultez l'Encyclopédie de Kaspersky Lab. Pour plus d'informations sur la protection contre le spam et le phishing, consultez Kaspersky Lab.

Rootkits

Les rootkits sont des utilitaires utilisés pour masquer les activités malveillantes. Ils dissimulent les logiciels malveillants pour éviter d'être détectés par les programmes antivirus.

Les rootkits peuvent également modifier le système d'exploitation d'un ordinateur et remplacer ses fonctions de base afin de masquer leur propre présence et les actions que l'attaquant entreprend sur l'ordinateur infecté.

Chiffreurs

Les chiffreurs sont des programmes qui, une fois sur un ordinateur, chiffrent des fichiers précieux : documents, photographies, sauvegardes de jeux, bases de données, etc. - de telle manière qu'ils ne puissent pas être ouverts. Autrement dit, l'utilisateur ne pourra pas utiliser de fichiers cryptés. Et les créateurs du ransomware exigent une rançon pour le décryptage.

Programmes de mineurs

Les programmes de minage sont des programmes qui, à l’insu de l’utilisateur, connectent son appareil au processus de minage. Essentiellement, l'appareil fait partie réseau distribué, Puissance de calcul qui sont utilisés pour extraire des crypto-monnaies sur le compte du propriétaire du programme de mineur.

Dans la plupart des cas, le mineur accède à l'ordinateur à l'aide d'un programme malveillant spécialement créé, appelé dropper, dont la fonction principale est d'installer secrètement d'autres logiciels. Ces programmes sont généralement déguisés en versions piratées produits sous licence ou encore pour les générateurs de clés d'activation que les utilisateurs recherchent, par exemple, sur des sites d'hébergement de fichiers et téléchargent volontairement.

canular

canular - programmes qui affichent de fausses informations à l'utilisateur. L'objectif principal de ces programmes est de forcer l'utilisateur à payer pour le programme ou le service imposé. Ils ne causent pas de dommages directs à l'ordinateur, mais affichent des messages indiquant qu'un tel dommage a déjà été causé ou sera causé. En d’autres termes, ils avertissent l’utilisateur d’un danger qui n’existe pas réellement.

Le canular inclut, par exemple, des programmes qui effraient l'utilisateur avec des messages concernant un grand nombre d'erreurs de registre trouvées, des pilotes obsolètes, etc. Leur objectif est de recevoir une récompense de la part de l'utilisateur pour avoir détecté et corrigé des erreurs inexistantes.

Courrier indésirable

Le spam est un courrier massif de nature non sollicitée. Par exemple, le spam est un courrier à caractère politique, de campagne, etc.

  • avec des offres d'encaissement d'une grosse somme d'argent ;
  • implication dans des pyramides financières ;
  • visant à voler des mots de passe et des numéros de carte de crédit ;
  • avec une demande d'envoyer des lettres de bonheur à des amis, par exemple.

Le spam augmente considérablement la charge sur serveurs de messagerie et augmente le risque de perte d'informations importantes pour l'utilisateur.

Autres programmes dangereux

Une variété de programmes conçus pour créer d'autres programmes malveillants, organiser des attaques DoS sur des serveurs distants et pirater d'autres ordinateurs. Ces programmes incluent des utilitaires de piratage (Hack Tools), des concepteurs de virus, etc.

Internet est comme un champ de mines planétaire où vous pouvez facilement rencontrer des dangers.

1. Programmes malveillants et, en premier lieu, chevaux de Troie résidant sur des sites frauduleux. Ils sont généralement déguisés en logiciels utiles, et ces programmes « attractifs » sont téléchargés et installés sur son PC par le visiteur Internet lui-même.
2. Sites Web qui exploitent les vulnérabilités du navigateur pour télécharger des logiciels malveillants. De plus, des pages contenant du code dangereux peuvent également être placées sur des sites tout à fait décents qui ont été attaqués par des attaquants.
3. Sites de phishing qui imitent l'interface de sites populaires (des services de messagerie et des réseaux sociaux aux systèmes de paiement) afin d'obtenir les informations d'identification des visiteurs.
4. Les spams reçus par les utilisateurs de presque tous les moyens de communication existants : électroniques
courrier, services messages instantanés, les réseaux sociaux, etc. Ces messages peuvent contenir des informations purement publicitaires et des liens vers des sites de phishing ou des sites distribuant des logiciels malveillants.
5. Interception des données transmises sous forme non cryptée. Où information confidentielle peut tomber entre les mains de criminels

En fait, tous les problèmes liés à l’accès à Internet peuvent être évités en respectant les règles de sécurité élémentaires.

Protéger accès physique aux ordinateurs

Votre système est peut-être protégé et verrouillé avec les outils les plus récents, mais si un attaquant y accède physiquement, tous vos efforts seront annulés. Assurez-vous que les ordinateurs ne sont jamais laissés sans surveillance.

N'utilisez pas de comptes administratifs pour le travail quotidien

À l'ère de Windows NT, avant l'avènement du client Connexion Bureau à distance ( Bureau à distance Connection) et les commandes runas, les administrateurs plaçaient souvent leurs propres comptes personnels dans le groupe Administrateurs de domaine. Ceci n’est pas recommandé pour le moment ; Il est préférable de créer des comptes administratifs Active Directory supplémentaires (par exemple, pour moi-même, je pourrais créer un compte rallyen personnel et un compte administratif rallyen.adm). Pour exécuter des programmes nécessitant des privilèges administratifs, utilisez le service Connexion Bureau à distance ou commande runas. Cela réduira le risque (bien que peu) de dommages accidentels au système.

En utilisant un régulier compte L'utilisateur réduit également les dommages possibles qu'un virus ou un ver peut causer au système.

Mettez régulièrement à jour les définitions de virus et les applications anti-spyware

L’une des raisons pour lesquelles les virus se propagent si rapidement est que les définitions de virus sont trop rarement mises à jour. De nos jours, de nouveaux virus et vers apparaissent à une fréquence alarmante et pour pouvoir lutter contre la menace virale, il est nécessaire d'utiliser les définitions les plus récentes. de même pour Spyware, qui est aujourd'hui devenu presque gros problème que les virus.

Assurez-vous que tous les correctifs critiques sont installés sur votre ordinateur

Même si les définitions de virus ne sont pas mises à jour aussi fréquemment qu'elles le devraient, la plupart des virus et des vers peuvent être arrêtés lors de la connexion si vous installez des mises à jour de sécurité critiques dès qu'elles sont disponibles. Bien sûr, lorsque Windows NT était largement utilisé et que Windows 2000 venait tout juste de sortir, cela n'était pas strictement nécessaire, mais aujourd'hui, un système dans lequel les nouvelles mises à jour de sécurité ne sont pas installées plusieurs jours (et parfois quelques minutes) après leur sortie est complètement ouvert aux nouvelles mises à jour. virus et vers Nous vous recommandons d'ajouter l'adresse du site Web suivante à votre liste de favoris et de la visiter périodiquement pour rester à jour. dernières technologies Sécurité Microsoft :
http://windowsupdate.microsoft.com.

Permettre l’audit des actions importantes
Windows offre la possibilité de consigner certaines actions et activités du système ; grâce à cela, vous pouvez suivre le journal des événements actions nécessaires, par exemple une modification certains fichiers, en cas de menace pour la sécurité.

Vérifiez régulièrement les journaux d'événements

Les journaux d'événements contiennent de nombreuses informations importantes concernant la sécurité du système, mais elles sont souvent oubliées. Entre autres choses, cela s'explique par une grande quantité de « déchets » dans les journaux, c'est-à-dire des messages sur des événements insignifiants. Développer un processus de centralisation et de révision régulière des journaux d’événements. Disposer d'un mécanisme d'analyse régulière des journaux vous aidera particulièrement lors de l'audit des activités importantes évoquées dans la section précédente.

Élaborer un plan d’action en cas d’attaque

La plupart des gens pensent que rien de tel ne leur arrivera jamais, mais la vie montre que c'est loin d'être le cas. En réalité, la plupart des utilisateurs ne possèdent même pas une fraction des connaissances en matière de sécurité dont peuvent se vanter les attaquants « professionnels ». Si un attaquant spécifique (ou pire, un groupe d’attaquants) a un œil sur votre organisation, vous devrez utiliser toute votre dextérité, votre intelligence et vos connaissances pour empêcher l’infiltration du système. Même les plus grandes entreprises du monde ont été attaquées. La morale est la suivante : chacun doit être préparé au fait que la cible de la prochaine attaque pourrait être son système. Ce qu'il faut faire?
Voici quelques liens utiles pour vous aider à élaborer un plan d’intervention.

Le réseau comme objet de protection

Le plus moderne systèmes automatisés les systèmes de traitement de l'information sont des systèmes distribués construits sur des bases standard architectures de réseau et en utilisant des ensembles standard de services réseau et de logiciels d'application. Réseaux d'entreprise« hériter » de toutes les méthodes « traditionnelles » d’intervention non autorisée sur les systèmes informatiques locaux. De plus, ils se caractérisent par des canaux de pénétration spécifiques et un accès non autorisé à l’information dû à l’utilisation des technologies de réseau.

Listons les principales caractéristiques des systèmes informatiques distribués :

  • l'éloignement territorial des composants du système et la présence d'un échange d'informations intensif entre eux ;
  • un large éventail de méthodes utilisées pour présenter, stocker et transmettre des informations ;
  • intégration de données à des fins diverses l'appartenance à des sujets différents, dans le cadre de bases de données unifiées et, à l'inverse, le placement des données nécessaires à certains sujets dans différents nœuds de réseau distants ;
  • extraire les propriétaires de données de structures physiques et localisation des données ;
  • utilisation de modes de traitement de données distribués ;
  • participation au processus traitement automatisé informations provenant d'un grand nombre d'utilisateurs et de personnel de diverses catégories ;
  • accès direct et simultané aux ressources d'un grand nombre d'utilisateurs ;
  • diversité des moyens utilisés la technologie informatique et logiciels ;

Que sont les vulnérabilités, menaces et attaques du réseau ?

En sécurité informatique, le terme " vulnérabilité"(Anglais) vulnérabilité) est utilisé pour indiquer une faille dans le système, à l'aide de laquelle un attaquant peut intentionnellement violer son intégrité et provoquer un fonctionnement incorrect. Les vulnérabilités peuvent être le résultat d’erreurs de programmation, de défauts de conception du système, de mots de passe faibles, de virus et autres logiciels malveillants, d’injections de scripts et de SQL. Certaines vulnérabilités ne sont connues que théoriquement, tandis que d’autres sont activement utilisées et comportent des exploits connus.

Généralement, une vulnérabilité permet à un attaquant de « tromper » une application pour qu’elle exécute une action qu’elle ne devrait pas avoir le droit de faire. Cela se fait en introduisant d'une manière ou d'une autre des données ou du code dans le programme à des endroits tels que le programme les perçoit comme « les siens ». Certaines vulnérabilités surviennent en raison d'une vérification insuffisante des entrées de l'utilisateur et permettent d'insérer des commandes arbitraires (injection SQL, XSS, SiXSS) dans le code interprété. D'autres vulnérabilités proviennent de problèmes plus complexes, comme l'écriture de données dans un tampon sans vérifier ses limites (buffer overflow). L'analyse des vulnérabilités est parfois appelée sondage, par exemple, quand on parle de sondage ordinateur distant- impliquent la recherche de ports réseau ouverts et la présence de vulnérabilités associées aux applications utilisant ces ports.

Sous menace(en général) comprennent généralement un événement, une action, un processus ou un phénomène potentiellement possible qui pourrait nuire aux intérêts de quelqu’un. Une menace pour les intérêts des sujets des relations d'information sera définie comme un événement, un processus ou un phénomène qui, par son impact sur l'information ou d'autres composants du SA, peut directement ou indirectement conduire à des dommages aux intérêts de ces sujets.

Attaque de réseau- une action dont le but est de prendre le contrôle (augmenter les droits) d'un utilisateur distant/local système informatique, ou sa déstabilisation, ou son déni de service, ainsi que l'obtention de données auprès des utilisateurs utilisant ce système informatique distant/local. informatique de la cybercriminalité

Pour une raison quelconque, la nécessité de réfléchir à la sécurité des réseaux est considérée comme le droit des seules grandes entreprises, telles que Badoo, Google et Google, Yandex ou Telegram, qui annoncent ouvertement des concours pour trouver des vulnérabilités et accroître la sécurité de leurs produits, applications Web et infrastructures de réseau à tous égards. Dans le même temps, la grande majorité des systèmes Web existants contiennent des « trous » de différents types (une étude de 2012 de Positive Technologies révèle que 90 % des systèmes contiennent des vulnérabilités à risque moyen).

Qu’est-ce qu’une menace réseau ou une vulnérabilité réseau ?

WASC (Web Application Security Consortium) a identifié plusieurs classes de base, chacune contenant plusieurs groupes, soit un total de 50 vulnérabilités courantes, dont l'utilisation peut causer des dommages à une entreprise. La classification complète est publiée sous le nom WASC Thread Classification v2.0, et il existe une traduction en russe. la version précédente d'InfoSecurity - Classification des menaces de sécurité pour les applications Web, qui servira de base à la classification et sera considérablement élargie.

Principaux groupes de menaces à la sécurité des sites Web

Authentification insuffisante lors de l'accès aux ressources

Ce groupe de menaces comprend les attaques par force brute, par abus de fonctionnalité et par localisation prévisible des ressources. La principale différence avec une autorisation insuffisante est qu'il y a une vérification insuffisante des droits (ou fonctionnalités) d'un utilisateur déjà autorisé (par exemple, un utilisateur autorisé régulier peut obtenir des droits d'administration simplement en connaissant l'adresse du panneau de contrôle si une vérification suffisante des droits d'accès n’est pas effectué).

De telles attaques ne peuvent être contrées efficacement qu’au niveau de la logique applicative. Certaines attaques (par exemple les attaques par force brute trop fréquentes) peuvent être bloquées au niveau de l'infrastructure réseau.

Autorisation insuffisante

Cela peut inclure des attaques visant à forcer facilement les détails d'accès ou à exploiter les erreurs lors de la vérification de l'accès au système. En plus des techniques Brute Force, cela inclut la prédiction des informations d'identification, de la session et la fixation de la session.

La protection contre les attaques de ce groupe nécessite un ensemble d'exigences pour système fiable autorisation de l'utilisateur.

Cela inclut toutes les techniques permettant de modifier le contenu d'un site Web sans aucune interaction avec le serveur qui répond aux requêtes - c'est-à-dire la menace est mise en œuvre via le navigateur de l’utilisateur (mais généralement le navigateur lui-même n’est pas le « maillon faible » : le problème réside dans le filtrage du contenu côté serveur) ou un serveur de cache intermédiaire. Types d'attaques : usurpation de contenu, scripts intersites, abus de redirecteur d'URL, falsification de requêtes intersites, fractionnement de réponse HTTP, contrebande de réponse HTTP, ainsi que détour de routage, fractionnement de requête HTTP et contrebande de requête HTTP.

Une partie importante de ces menaces peut être bloquée au niveau de la configuration de l'environnement du serveur, mais les applications Web doivent également filtrer soigneusement les données entrantes et les réponses des utilisateurs.

Exécution du code

Les attaques par exécution de code sont des exemples classiques de piratage de sites Web via des vulnérabilités. Un attaquant peut exécuter son code et accéder à l'hébergement où se trouve le site en envoyant une requête spécialement préparée au serveur. Attaques : débordement de tampon, chaîne de formatage, débordements d'entiers, injection LDAP, injection de commandes de messagerie, injection d'octets nuls, exécution de commandes du système d'exploitation (commande du système d'exploitation), exécution de fichiers externes (RFI, inclusion de fichiers à distance), injection SSI, injection SQL, injection XPath, Injection XML, Injection XQuery et Implémentation de XXE (Entités Externes XML).

Tous ces types d'attaques ne peuvent pas affecter votre site Web, mais elles sont correctement bloquées uniquement au niveau du WAF (Web Application Firewall) ou du filtrage des données dans l'application Web elle-même.

Divulgation d'informations

Les attaques de ce groupe ne constituent pas une pure menace pour le site lui-même (puisque le site n'en souffre en aucune façon), mais peuvent nuire à une entreprise ou être utilisées pour mener d'autres types d'attaques. Types : empreintes digitales et parcours de chemin

Une bonne configuration de l'environnement du serveur vous permettra de vous protéger complètement contre de telles attaques. Cependant, il faut aussi faire attention aux pages d’erreurs de l’application web (elles peuvent contenir un grand nombre de Informations techniques) et travailler avec système de fichiers(ce qui peut être compromis par un filtrage d’entrée insuffisant). Il arrive également que des liens vers certaines vulnérabilités du site apparaissent dans l'index de recherche, ce qui constitue en soi une menace de sécurité importante.

Attaques logiques

Ce groupe comprend toutes les attaques restantes, dont la possibilité réside principalement dans les ressources limitées du serveur. Il s'agit notamment du déni de service et d'attaques plus ciblées - SOAP Array Abuse, XML Attribute Blowup et XML Entity Expansion.

La protection contre eux se situe uniquement au niveau de l'application Web, ou en bloquant les requêtes suspectes ( matériel réseau ou proxy Web). Mais lorsque de nouveaux types d’attaques ciblées apparaissent, il est nécessaire d’auditer les vulnérabilités des applications Web.

Attaques DDoS

Comme il ressort clairement de la classification, une attaque DDoS au sens professionnel du terme est toujours l'épuisement des ressources du serveur d'une manière ou d'une autre (le deuxième D est Distribué, c'est-à-dire une attaque DoS distribuée). D'autres méthodes (bien que mentionnées sur Wikipédia) ne sont pas directement liées à une attaque DDoS, mais représentent l'un ou l'autre type de vulnérabilité du site. Wikipédia décrit également les méthodes de protection de manière suffisamment détaillée ; je ne les reproduirai pas ici.

ARTICLES LIÉS